Slušaj vest

Kompanija Kaspersky identifikovala je novu pišing kampanju u kojoj napadači koriste legitimnu Microsoft Identity Platform infrastrukturu kako bi povećali verodostojnost svojih napada. Zbog toga provera da li je domen zvaničan više nije dovoljna da bi korisnik bio siguran da se nalazi na bezbednoj stranici. Ovakav pristup predstavlja novi izazov za korisnike koji se oslanjaju na proveru URL adrese kao glavni znak bezbednosti.

U ovoj kampanji zloupotrebljava se OAuth 2.0 Device Authorization Grant, mehanizam namenjen uređajima poput pametnih televizora, štampača i IoT uređaja, gde unos korisničkih podataka nije jednostavan. Upravo taj način autorizacije postao je sredstvo za obmanu korisnika. Napadači koriste njegovu legitimnu namenu kako bi prevara delovala što uverljivije.

shutterstock-kaspersky-1.jpg
Foto: Shutterstock

Prevara počinje uverljivim imejlom

Tokom praćenja kampanje u aprilu i maju, istraživači su primetili da napad započinje imejlom koji izgleda kao poruka advokatske kancelarije. U njemu se nalazi lozinka za otvaranje PDF dokumenta, što dodatno doprinosi utisku da je sadržaj legitiman. Kombinacija profesionalnog izgleda i zaštite lozinkom povećava poverenje kod potencijalnih žrtava.

Nakon otvaranja PDF-a, korisniku se prikazuje spisak dokumenata kojima navodno može da pristupi preko servisa nazvanog „LawConnect“. Iako deluje ubedljivo, reč je o izmišljenoj usluzi čiji je jedini cilj da navede žrtvu na sledeći korak prevare. Naziv i izgled servisa pažljivo su osmišljeni kako bi ostavili utisak legitimne poslovne platforme.

fajlovi.jpg
Foto: Shutterstock

Legitiman link krije put do pišing stranice

Jedan od najzanimljivijih delova napada jeste način na koji se koristi pravi Microsoft domen. Dugme u dokumentu vodi ka legitimnom URL-u, ali je on posebno oblikovan tako da kroz parametre izvrši preusmeravanje na lažnu internet stranicu. Zbog toga korisnici na prvi pogled ne primećuju da će biti preusmereni na potpuno drugu lokaciju.

Na taj način korisnik stiče utisak da se sve odvija u okviru zvanične Microsoft infrastrukture. Upravo zbog toga ovakvi napadi mogu biti znatno ubedljiviji od klasičnih pišing pokušaja koji koriste sumnjive internet adrese. Ovakva tehnika pokazuje koliko su moderni pišing napadi postali sofisticirani.

shutterstock_microsoft.jpg
Foto: Shutterstock

Jednokratni kod postaje ključ za pristup nalogu

Pre nego što dođe do završnog koraka, korisnik prolazi kroz nekoliko CAPTCHA provera, koje verovatno služe da otežaju rad bezbednosnim alatima i automatizovanim sistemima za otkrivanje prevara. Istovremeno, CAPTCHA može kod korisnika stvoriti utisak da se nalazi na legitimnoj stranici.

Na kraju se prikazuje jednokratni kod uz uputstvo da bude unet na legitimnoj Microsoft stranici za autorizaciju uređaja. Pošto je kod prethodno generisala aplikacija pod kontrolom napadača, njegovim unosom žrtva zapravo odobrava toj aplikaciji pristup svom nalogu, bez krađe lozinke i često bez aktiviranja dodatnih MFA provera. Na taj način napadači zaobilaze uobičajene metode krađe akreditiva i oslanjaju se na korisnikovu saglasnost.

shutterstock-captcha-6.jpg
Foto: Shutterstock

Kako se zaštititi od ovakvih napada

Kaspersky preporučuje da korisnici nikada ne potvrđuju Device Authorization zahtev ukoliko ga sami nisu pokrenuli na nekom uređaju. Takođe, ne bi trebalo unositi autorizacione kodove dobijene putem neočekivanih imejlova ili poruka, čak ni kada vode na zvanične Microsoft stranice. Dodatni oprez prilikom provere svakog zahteva može sprečiti kompromitovanje naloga.

Za kompanije se preporučuje procena da li je Device Code Flow uopšte potreban. Ako nije, Kaspersky savetuje njegovo isključivanje kroz Conditional Access pravila u okviru Microsoft Entra ID okruženja. Pored toga, bezbednosni timovi trebalo bi da prate DeviceCodeSignIn događaje, primene strože politike za uređaje i postave upozorenja za prijave koje dolaze sa neuobičajenih lokacija. Kombinacija tehničkih mera i edukacije zaposlenih ostaje jedan od najefikasnijih načina zaštite od ovakvih napada.

Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.

ZAPRATITE NAS NA TIKTOKU